GDPR 和個人信息保護的小知識

來自專欄 Salesforce 學習筆記

從2018年5月25日起，歐盟的《通用數據保護條例》（簡稱 GDPR，General Data Protection Regulation）開始強制施行。這個規範加強了對個人信息的保護，並且加大了對於數據泄露的處罰力度。

GDPR 是著重於歐盟的數據保護條例，那麼對中國的公司有影響嗎？

答案是有的！GDPR 的適用範圍包括了所有處理歐盟居民個人資料的公司和機構，所以也適用於處於歐盟境外、為歐盟居民提供商品或服務的公司。對於在歐盟有業務的中國公司，在5月25號之後也要遵循 GDPR 的規範。

GDPR 中的內容和現有的很多數據保護條例相似。我們在開發和使用信息系統的時候，考慮到各個方面是非常重要的，否則有可能造成法律和經濟方面的雙重損失。

對於 GDPR 和個人信息的保護，我們需要注意哪些方面呢？

我們先了解一下個人信息的相關許可權：

• 讀取許可權
• 使用的知情權。比如在用戶註冊網站的時候，必須同意「隱私條款」。在這些條款中，網站必須通知用戶他們的信息會被如何使用
• 刪除權。當用戶需要刪除個人信息的時候，相關的公司和機構必須執行。比如當某人從學校畢業之後，他有權讓自己的信息從各類「校友網路」中移除
• 移植權。個人可以要求自己的信息從一個組織機構轉移到另一個組織機構
• 限制使用權。當我們不想讓自己的信息被某些業務流程使用的時候，我們有權利進行阻止

作為組織機構，在處理個人信息的時候需要遵循以下原則：

• 遵循隱私條款
• 遵循信息的使用目的。比如：在 HR 進行招聘的時候，通過社交網路中的信息來對候選人進行判斷，是不合適的，因為社交網路中信息的使用目的是個人生活而非職業
• 使用和保存最少的信息
• 將信息保存儘可能短的時間。一旦個人信息不再被使用，則需要移除
• 保持信息的更新和準確
• 信息使用的透明。這一點和上面提到的「信息被使用的知情權」相對應
• 信息的保密

推薦閱讀：